28 de marzo de 2011

Recordando el traslado

Veo que cometí el error de no eliminar la sección de suscripción en el lateral de este blog cuando anuncié su Punto y aparte, por lo que algún lector que llegó desde Google creyéndolo aún activo se ha suscrito a una publicación que ya no emite novedades. Una vez eliminada la citada sección, envío esta comunicación para recordar que la temática de este blog (sanciones) mucho más ampliada con informes jurídicos, consejos y diversas utilidades se ha trasladado al sitio Ayuda Ley Protección Datos, al que también puede el lector suscribirse, si es que no lo ha hecho ya, por estos métodos:

Para suscribirse a Ayuda Ley Protección Datos:

9 de diciembre de 2010

Punto y aparte de este blog

A partir de hoy este blog dejará de actualizarse. La temática tratada (sanciones LOPD) se traslada al sitio Ayuda Ley Protección Datos, donde se alojará bajo la etiqueta "Sanciones".

Los artículos publicados no desaparecen, el blog se mantendrá online para consultas, y cuando alguna de las resoluciones sea revisada en Ayuda LOPD (entre otras cosas para intentar darle un enfoque más práctico), se incluirá al inicio del post la aclaración y un enlace a la nueva versión.

Si el lector está interesado en seguir los análisis de sanciones de la AEPD y aún no está suscrito al blog Ayuda LOPD, dejo aquí los enlaces para la suscripción.

Para suscribirse a Ayuda Ley Protección Datos:

25 de noviembre de 2010

Revisa los comprobantes antes de dar copia

El procedimiento sancionador PS/00094/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a una asociación de madres y padres de alumnos (AMPA) se inicia tras la denuncia de un padre que al solicitar el comprobante de un impago que el AMPA le reclamaba, recibió copia del justificante bancario en el que constaba no solo el impago a nombre de su hija, sino además otros a nombre de dos alumnos del mismo colegio, incluyendo en ambos casos el numero de cuenta corriente y el motivo de la devolución.

Tras recibir la notificación del acuerdo de inicio de procedimiento sancionador, la entidad AMPA alegó no haber vulnerado la LOPD, por cuanto había obtenido el consentimiento de los padres de los afectados para la cesión de sus datos en el marco de su actividad. Asimismo, reiteró las manifestaciones efectuadas a los servicios de inspección de la AEPD, señalando que la información se facilitó al denunciante para atender la petición que el mismo había formulado a la Asociación y que dicha información no se cedió para que el denunciante hiciera un uso indebido de la misma. Finalmente, resaltaron que los propios afectados, valorando la ausencia de mala fe en la actuación de la AMPA, no presentaron denuncia alguna.

La Agencia admite en los Fundamentos de Derecho que en el denunciante había solicitado ante la AMPA que acreditasen la devolución de recibos de la misma emitidos a su cargo, pero aclara que esta solicitud no justifica la entrega de datos de terceros que figuran en el documento entregado al denunciante por la entidad imputada, que estaba obligada a respetar la confidencialidad de esa información y debió articular otro medio para atender la solicitud del denunciante sin que ello implicara la revelación de datos personales de terceros.

En referencia a un posible consentimiento de los padres de los alumnos afectados, se afirma que el documento aportado no acredita fehacientemente la identidad de las personas que lo suscriben y, en cualquier caso, no se refieren a los datos de los alumnos afectados, sino de los propios firmantes. Además, dicho documento, que autoriza la cesión en el marco de la actividad de la Asociación, no justifica la revelación de datos denunciada, por cuanto la misma no resulta necesaria para el desarrollo de la actividad de la AMPA.

Por tanto ha quedado acreditado que AMPA, como responsable de la entrega al denunciante del comprobante de devolución de recibos objeto de la denuncia, informó al mismo sobre recibos impagados por otros alumnos distintos a su hija, resultando que la entidad AMPA no actuó con la diligencia debida al haber posibilitado que una tercera persona tuviese acceso a la información señalada, por lo que se vulnera el deber de secreto a tenor del artículo 10 de la LOPD.

El incumplimiento del deber de guardar secreto establecido en el artículo 10 de la LOPD constituye, por regla general, una infracción leve y sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a “... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo”.

En este caso, la AEPD sostiene que los datos personales contenidos en el comprobante de devolución de recibos, en concreto respecto del nombre, primer apellido y número de cuenta bancaria de dos alumnos, no permiten realizar una evaluación de la personalidad de los mismos, por lo que la vulneración del artículo 10 debe ser tipificada como infracción leve.

Y así, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad AMPA CEIP ANTON BUSQUETS I PUNSET, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 601,01 (seiscientos un euros con un céntimo), de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

18 de noviembre de 2010

Sanciones por videovigilancia (5)

Quinta recopilación en este blog de sanciones de la Agencia Española de Protección de Datos (AEPD), por motivo de instalaciones de videovigilancia (aquí la primera, la segunda, la tercera y la cuarta).

Fecha - Nº Expediente - Artº Infringido - Sancionado - Importe

10 de noviembre de 2010

Más de tres es pecado grave

El procedimiento sancionador PS/00191/2010, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L., se inició tras denuncia de A.A.A. por haber recibido cuatro correos electrónicos no solicitados con información comercial de la citada empresa.

Ya que las cuentas de correo emisoras pertenecían a dos dominios propiedad de la empresa, y a que su proveedor de hosting informó que las IP habían sido en las fechas indicadas asignadas a la misma, no parecía quedar mucha duda sobre la autoría, y aunque la denunciada aseguró en un primer recurso que "No han remitido ninguno de los correos electrónicos referidos en el escrito de denuncia", al no volver a presentar alegación alguna durante el resto de fases del proceso, éste continuó con la calificación de falta grave, según el artículo 38.3.c) de la LSSI:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INEXTRAMA SOL INF. SECTOR GRAFICO S.L, por una infracción del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI, una multa de 30.001 € ( treinta mil un euro) de conformidad con lo establecido en el artículo 40 de la citada LSSI.